Audit van de audit rating

Door Huub de Boer, internal auditor Graydon 

Vandaag zit ik samen met een manager om het auditrapport te bespreken. Het conceptrapport is vorige week al toegestuurd en straks bespreken we samen de door mij opgestelde bevindingen om met een redelijke mate van zekerheid vast te kunnen stellen dat ik niet totale onzin rapporteer.

Bij dit rapport weet ik al dat de meeste discussie met de manager zal gaan over de audit rating die ik geef aan iedere bevinding. Zelf probeer ik altijd zo objectief mogelijk naar de beheersingsmaatregelen te kijken, terwijl ik wel meteen moet toegeven dat de door mijzelf opgestelde methodiek voor het wegen van auditbevindingen als het gaat om subjectiviteit nog wel te wensen overlaat. Welke impact heeft een bevinding op een risico, wanneer is iets een hoog risico en wat moet de manager doen om de audit rating met één punt te verhogen? Het blijft een lastige discussie waar ik vanaf wil. Het management moet commentaar kunnen leveren op de gehele inhoud van het rapport en dus ook op de bijbehorende rating.

Verschillende doelstellingen: wettelijk of zelf-gekozen?
Binnen het bedrijf word ik nog wel eens geassocieerd met een politieagent.  Geheel ten onrechte, maar dat terzijde. Toch zet deze vergelijking me wel aan het denken, want hoe doet oom agent dit eigenlijk? Als ik per ongeluk door rood rijd, word ik op dit gedrag beoordeeld door de politie met een bijbehorende rating, ook wel bekeuring, van €230. Dit is heel objectief meetbaar en in discussie gaan met de agent is kansloos. Waarom wordt wel in discussie gegaan over mijn rating? Een belangrijk verschil is het onderscheid tussen verplichte en niet-verplichte doelstellingen. Als een doelstelling verplicht is omdat er een wet aan ten grondslag ligt, is de sanctie (rating) hierop makkelijker op te leggen zonder discussie. 

Uiteraard hebben we ons bij Graydon te houden aan alle wetten (norm) die op ons van toepassing zijn. Als ik een afwijking van die norm constateer, dan leidt het geen twijfel dat ik hierover een bevinding met bijbehorende rating opneem. Daarover zal geen discussie bestaan.
Anders is het met de doelstellingen die de manager zelf heeft gekozen en dus niet door een wettelijke instantie afgedwongen worden. Daarom begin ik als auditor altijd met de vraag: wat zijn de doelstellingen? En vervolgens: wat zijn de risico’s die realisatie in de weg staan, welke maatregelen heeft het management al genomen, etc. 

Door juist het proces achter de doestellingen te auditen kun je de manager helpen door een spiegel voor te houden en waar mogelijk het management control systeem te verbeteren. Op die manier vergroot je de kans dat de doelstellingen daadwerkelijk gehaald worden. Als ik een aanbeveling in deze richting doe, is de kans groot dat de manager hier open voor staat. Dat is anders als er een bestraffende rating aan de aanbeveling vast hangt. Dan gaat de discussie niet meer over de inhoud maar over de rating en is de manager minder ontvankelijk voor de inhoud van mijn aanbeveling.

Verschillende rollen van de auditor: toetsen of coachen (ondersteunen)
Uiteraard speelt ook de taakinvulling van de auditor binnen de organisatie een rol. Dit kan een toetsende en/of coachende functie zijn.  Bij de toetsende functie vergelijkt de auditor de norm met de waargenomen werkelijkheid. De norm is dan vooraf afgesproken met management. Als er een afwijking wordt geconstateerd, is het van belang om te bepalen hoe groot de afwijking is, hoe vaak deze voorkomt en wat de impact is op het risico. Deze factoren zijn mede bepalend voor de weging (rating) van de bevinding. 

De coachende rol hangt samen met de eerdergenoemde zelfgekozen doelstellingen. In deze rol ligt de focus op het ondersteunen van het management bij het versterken van het management control systeem met aanbevelingen. Naast het geven van een oordeel over de juiste werking van beheersingsmaatregelen (toetsende rol), kun je als auditor juist meerwaarde bieden door aan te geven waar eventueel maatregelen ontbreken (coachende rol). Op die manier help je mee het management control systeem te verbeteren en wordt de kans groter dat de (organisatie) doelstellingen gehaald worden. De opstelling en de benadering is ook anders. De auditor staat niet tegenover maar juist naast de manager met het gezamenlijke doel om de organisatie te verbeteren. 

Het zal u niet verrassen dat ik geen groot voorstander ben van audit ratings. Vooral in de rol van coach van het management zorgt de rating ervoor dat aanbevelingen minder snel worden aangenomen. En dat doet uiteindelijk ook afbreuk aan je positie. Een proceseigenaar moet zich ook vrij voelen om bij de auditor aan te kunnen kloppen om mee te denken en te sparren over de procesbeheersing zonder hier meteen op afgerekend te worden. Het is daarom belangrijk om duidelijk te maken welke rol de auditor binnen de organisatie vervult en op basis daarvan te bepalen of aan de bevindingen een rating moet worden gekoppeld.

Als je dan toch een rating aan een bevinding hangt, moet je er dus zeker van zijn dat deze objectief te onderbouwen is en je deze kunt uitleggen aan de lezers van het rapport. Daarom nog een laatste tip voor u als lezer van een auditrapport: zie je bevindingen staan die een rating hebben, vraag dan eens naar de eerste conceptversie van het rapport. Een grote kans dat u hierin nog waardevolle bevindingen staan die helaas door de discussie over de rating niet overgenomen zijn in de finale versie van het auditrapport.